5min Security

Hoe giftig is data?

Hoe giftig is data?

Wist u dat datacenters wereldwijd jaarlijks ongeveer twee keer zoveel energie verbruiken als het hele land Spanje? Dit zijn cijfers uit 2017, dus ga er maar vanuit dat dit verbruik anno 2023 minstens verdrievoudigd is. Wel recent: het trainen van ChatGPT kost evenveel energie als dat van 1000 Amerikaanse huishoudens.

Het feit dat we gigantische bergen data bewaken als een draak zijn goudvoorraad, is in ieder geval giftig voor ons klimaat. Maar onze datahonger – die alleen maar groter wordt – heeft niet alleen gevolgen voor het milieu. Het bijna gedachteloos oppotten van al die data binnen onze ondernemingen heeft nog een ander giftig effect. Onze overtuiging dat data goud is, leidt ertoe dat we slechte beslissingen nemen.

Hindernissen

Leigh McMullen van Gartner vertelt over hoe hij tijdens het sporten zijn knie blesseerde. “Mijn apotheek stuur mij een sms dat ik mijn pijnstillers kan ophalen. Ik wil checken of het inderdaad de juiste pijnstillers zijn, dus ik klik op de link in de sms. Een melding verschijnt: verifieer uw identiteit. Ehm, je hebt mij net een sms gestuurd, maar als je mijn identiteit alsnog wilt controleren, okay, prima. Vervolgens moet ik mij registreren en vragen beantwoorden als: wat is uw naam, wat is uw geboortedatum, wat is de meisjesnaam van uw moeder? Kortom, alle vragen die je stelt als je iemands identiteit wilt stelen. Dit is míjn apotheek, die al deze informatie al heeft van mij. Wie ook maar iets begrijpt van klantervaring weet dat dit het laatste is dat je wilt doen: het opwerpen van allerlei obstakels en hindernissen. Doe dat niet en al helemaal niet in het kader van privacy, zeker niet als je contact hebt met een klant over wiens informatie je al beschikt.”

Datasegmentatie

CIO’s en CISO’s moeten gezamenlijk werken aan hun databeheer. Een doelgebied, waar potentiële en bestaande klanten op zoek zijn naar hun nieuwe aankoop, is iets ander dan een aanvalsoppervlak. Volgens McMullen moeten we data beter segmenteren, door bijvoorbeeld operationele data te scheiden van persoonsgebonden data van klanten. “Dat begint bij het onderscheid tussen een werkelijke bedreiging en een risico. Voor een CISO bestaat de wereld voornamelijk uit bedreigingen. In werkelijkheid draait cybersecurity om hooguit drie beheersingsprincipes: 1) het voorkomen van iedere vorm van ‘denial’ of dat nu door een orkaan of een DoS-aanval wordt veroorzaakt, 2) het behouden van de integriteit van onze systemen voor continuïteit en 3) het voorkomen van data-exfiltratie. Hoe reëel is de bedreiging dat een concurrent jouw data zou stelen om te gelde te maken? Wees eens eerlijk, weet jij raad met jouw eigen stuwmeer aan data? Maak jij dat actief te gelde op dit moment? Nee! Dus je hebt helemaal geen behoefte aan nog een stuwmeer aan data van jouw concurrent, en vice versa.”

Conditioneren

McMullen noemt een tweede voorbeeld. “Via social media had ik mijn beklag gedaan over de handelswijze van mijn verzekeringsmaatschappij. Op een dag belden zij mij daarover. Aan het begin van het gesprek stelde de mevrouw mij diverse verificatievragen. Zíj belden mij! Toen ik de dame vroeg of zij haar vragen niet enigszins misplaatst vond, zei ze bijna verontwaardigd: ‘Nee, iedereen kan uw telefoon toch opnemen?!’ En wederom, de vragen die ze mij stelde pasten perfect in het script van een identiteitsfraudeur. Dit overdreven verifiëren in de naam van privacy of betere veiligheid, conditioneert onze klanten om ten prooi te vallen aan oplichters. We moeten die mentaliteit omdraaien. Dingen die jij als bedrijf weet over jouw klanten die zij zelf ook weten, hoeven niet te worden besproken. En als je dan per se wilt verifiëren, stel dan niet-geprivilegieerde vragen, zoals de drie laatste cijfers van uw creditcard, of de eerste drie letters van uw moeders meisjesnaam.”

Robottoilet

Een andere irritante manier om data te verzamelen is klanten een app te laten downloaden, of ze tot registratie te dwingen. Doen ze dat niet dan krijgen ze hun broodrooster of mixer niet aan de praat. “Niet doen!” roept McMullen. “Dat is een hele slechte klantervaring en bovendien ga je toch geen inkomsten genereren met deze data. Stel nu dat er echt goud verborgen zit in al die data, dan moet je een solide strategie tot monetizen hebben en een solide securitystrategie. Zelfs de bedrijven die hierin uitblinken kunnen dit niet goed. Het is niet voor niets dat Amazon zich concentreert op de supply chain en de logistiek.”

Hij vertelt dat hij tijdens een trip een robottoilet heeft gebruikt. “Dat was een levensveranderende ervaring, dus ik heb er thuis nu ook één. Voordat ik die aanschafte, deelde ik mijn formidabele ervaring in Japan op diverse social media. Kreeg ik advertenties voor een robottoilet vóór mijn aankoop? Nee, nadát ik het toilet had gekocht werd ik erdoor overspoeld. Dat vernietigt toch op voorhand iedere positieve klantervaring?”

Het ontgiften

McMullen pleit voor strategisch vergeten. “Mensen vergeten dingen en dat heeft een goede reden. Naarmate we meer genAI gaan inzetten, raken systemen vergiftigd door de data die bijvoorbeeld zegt dat ik van robottoiletten houd, waardoor ik advertenties voor robottoiletten blijf ontvangen. Daarom moeten we leren om strategisch te vergeten. Alleen door te vergeten gaan we voorwaarts. Vergeten moet een wezenlijk onderdeel worden van ons systeemontwerp. Daarom heeft Dave Aaron van Gartner de Dropchain uitgevonden, een controleerbare blockchain, met een vergeetlaag. Een consument maakt een slim contract. Hij geeft een partij bepaalde data en de tijd om die data te gelde te maken. Vooraf bepalen beide partijen wanneer die data wordt vergeten. Alleen op die manier wordt jouw data minder giftig.”

Dit artikel is een samenvattende weergave van de inspirerende keynote die Leigh McMullen in november 2023 gaf tijdens de Gartner ITxpo in Barcelona: ‘Data is the toxic waste of the digital era. Here’s how to clean up the mess’.

Lees ook: